Un outil dénombre les 306 millions de mots de passe à éviter !

Aug 10, 2017
Vote on Hacker News

306-millions-mots-passe-eviter

Dans un monde où les cyberattaques ne cessent de se multiplier, choisir un mot de passe efficace pour protéger ses données est devenu primordial. Mais si de hauts niveaux de complexité commencent à se généraliser, ils sont inutiles si le mot de passe a déjà été pris dans une attaque de sécurité précédente. Troy Hunt vous propose de le vérifier, très simplement.

Des chiffres, des caractères spéciaux, des majuscules et des minuscules, au moins 16 caractères : cette complexité est nécessaire pour détenir un mot de passe capable de résister à des attaques. Mais si cette complexité est indispensable, elle peut ne pas suffire, si votre mot de passe est déjà connu des hackers du monde entier.

Une base de données des violations antérieures

Le site “Have I Been Pwned”, développé par le chercheur en sécurité Troy Hunt, proposait déjà gratuitement à ses utilisateurs de vérifier si une adresse mail a déjà été victime d’une attaque visant à en récupérer les données. En pratique, cela signifiait que la combinaison « adresse mail » / « mot de passe » avait de grandes chances d’être connue par des pirates informatiques.

Troy Hunt vient de proposer un nouvel outil de recherche, qui renverse cette logique : il recense en effet tous les mots de passe qui ont déjà été utilisés lors d’une précédente violation de données. Et le moins que l’on puisse dire, c’est que le nombre impressionne : la base de données regroupe pas moins de 306 millions de mots de passe qu’il faudrait éviter d’utiliser.

Généralisation en vue pour tous les sites demandant des mots de passe ?

Aux Etats-Unis, le NIST (National Institute of Standards and Technology) recommande justement aux sites utilisant des mots de passe de relier les propositions des utilisateurs à cette base de données pour éviter qu’ils choisissent un mot de passe compromis.

Mais en attendant que cette pratique automatique se généralise, l’outil de Troy Hunt est fort utile. Un détail : ne l’utilisez que pour vérifier un nouveau mot de passe, et pas un que vous utilisez déjà !